外部脚本的内容安全策略问题

【问题标题】:problem in Content Security Policy for external scripts外部脚本的内容安全策略问题
【发布时间】:2022-03-16 11:59:03
【问题描述】:

我想访问这个脚本:

<script src="https://js.stripe.com/v3/"></script>

<script src="https://cdnjs.cloudflare.com/ajax/libs/axios/0.21.1/axios.min.js"></script>

<script src="https://api.mapbox.com/mapbox-gl-js/v2.1.1/mapbox-gl.js"> </script>

还有这个样式表:

<link rel="stylesheet" href="https://api.mapbox.com/mapbox-gl-js/v2.1.1/mapbox-gl.css">

但我有一些类似这样的错误:

拒绝加载脚本“https://js.stripe.com/v3/”,因为它违反了以下内容安全策略指令:“script-src https://cdnjs.cloudflare.comhttps://api.mapbox.com'self' blob:”。请注意,'script-src-elem' 没有显式设置,因此 'script-src' 用作备用。

我使用元标记访问所有具有所有资产的网站,但不起作用:

<meta http-equiv="Content-Security-Policy" content="default-src https:">

【问题讨论】:

  • 由于您观察到 CSP 违规:Refused... "script-src https://cdnjs.cloudflare.com https://api.mapbox.com 'self' blob:",一些 CSP 已经发布(可能通过 HTTP 标头)。通过 <meta> 添加第二个 CSP 无法缓解第一个 CSP。您必须弄清楚第一个 CSP 的发布位置并对其进行编辑 - 将 https://js.stripe.com 添加到 script-src https://cdnjs.cloudflare.com https://api.mapbox.com 'self' blob: 中。

标签: content-security-policy


【解决方案1】:

当我更改我的 axios 版本时,它在那个版本上对我有用,但它不起作用。所以转到你的 axios 文件的 src 并将其更改为另一个版本。

【讨论】:

    猜你喜欢
    • 2021-01-11
    • 2021-09-28
    • 1970-01-01
    • 2021-06-11
    • 1970-01-01
    • 1970-01-01
    • 2016-04-20
    • 2013-12-23
    • 2021-06-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode